آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام
[ + افزودن آگهی متنی جدید ]
=====>> تاپیک اختصاصی کرم پیشرفته ی STUXNET فقط اینجا <<=====
درود
دوستان شاید دلتون بخواد که درباره ی این کرم استاکسنت بدونین که من این تاپیک رو برای همین راه اندازی کردم..
ازین روز به بعد این تاپیک اختصاصی این کرم خواهد بود
اینجا قراره یک اطلاعاتی درموردش بدیم.
نحوه ی آلوده سازی..
این که اولین بار از کجا آمد
راه های انتقال کرم
یک خواهشی هم ازتون دارم این هست که این تاپیک کاملا علمی هست و جای بحثهای C یا 30 نیست و در هر صورت مورد دیده شده برخورد خواهد شد.
با سپاس...امین.gif "N Aggressive (39)")
درود
یک جزئیات کوچکی رو اینجا میگم تا سر بحث رو باز کنه شما هم شریک بشین داخل بحث دوستای گلم
Stuxnet چیست ؟
نوعی کرم جدید مخصوص سیستم عامل ویندوز هست که در اولین جهش خود داخل USB فلش های مرسوم قرار میگیره،
و به محض اینکه داخل یک سازمان بزرگ قرار بگیره، درون Network و کامپیوتر های اون گسترش پیدا میکنه البته به شرطی که سیستم ها از Password protection خوبی بر خوردار نباشن.
این کرم به راحتی میتونه از طریق USB drive ها هرچیزی میخواد باشه مثل فلش یا دوربین یا موبایل و .... انتقال داده شه..
این کرم یک سیستم رو آلوده میکنه و به وسیله یک Rootkit خودش رو در عمیقترین قسمت های سیستم عامل مخفی نگه میداره که انگار هیچ خبری نیست و مدام چک میکنه که آیا کامپیوتر به یک Siemens Simatic Step7 وصل شده یا نه ( که البته این که گفتم مربوط به PLC هست که همون کنترل کننده های منطقی هستش که در الکترونیک بحث گسترده ای داره )
اگه یکم سر رشته از برق داشته باشین میفهمین که PLC از طریق کامپیوتر برنامه دهی میشه و از طریق برنامه ی معروف Step7 که حالا نکته ای که میخوام بگم اینه که این کرم دستورات ارسالی از کامپیوتر به PLC رو Modify میکنه ...وقتی که به PLC انتقال یافت دنبال یک سری فاکتور های خاص میگرده در PLC که نمیتونم به وضوح بگم متاسفانه...
اگر این فاکتور ها رو پیدا نکنه کاری انجام نمیده اصلا.
حالا سوال اینه که اگه استاکسنت این فاکتور های مورد نظر رو جایی پیدا کنه ، و در فضای مورد انتظارش قرار بگیره چکار میکنه؟
تنها چیزی که میشه گفت این هست که یک تغییر و تحول شدیدا پیچیده به سیستم میده که پیشبینی شده دیگه باید سیستم رو کنار گزاشت و سیستم جدید به کار گرفت. ولی هنوز دیده نشده که استاکسنت این فضای خاصی که دنبالشه جایی پیدا کرده باشه تا ضد اون عمل کنه
کارهایی که انجام میده روی یک کارخانه به عنوان مثال :
A)) میتونه موتور ها رو به کنترل خودش در بیاره
B)) نوار نقاله رو به خاص خودش تنظیم کنه
C)) پمپها ، رو درستکاری کنه و....
میتونه به راحتی یک کارخانه رو متوقف کنه و یا با متدهای خاصی نهایتا حتی میتونه تجهیزات رو منفجر کنه
سوال پیش میاد که چرا اینقدر این کرم پیچیده هست؟
این به خاطر این هست که از آسیب پزیریها نهایت استفاده رو میکنه و روی سیستم یا PLC درایورهای خودش رو بار میکنه
شاید بگین که چطور میتونه درایورهای خودش رو روی سیستم ( ویندوز ) بار کنه و استفاده کنه ، در حالتی که باید حاوی امضا یا همون Digital Sign باشه برای اجرا در ویندوز....
جواب هم اینه که درایور کرم استاکسنت با یک Certificate دزدیده شده از
Realtek Semiconductor Corp امضا شده بوده است.
البته این Certificate در 16 ژولیه 2010 توسط همون شرکت فسخ میشه و بی اعتبار...
تازه نکته ی جالبتر این هست که در روز 17 ژولیه( یک روز پس از فسخ ) دوباره یک Certificate دزدیده شده ی دیگه از JMicron Technology Corporation پیدا میشه!
نقاطی از ویندوز که کرم استاکسنت بیشتر اونا رو آسیب پذیر میبینه:
فایلهای لینک( یا همون فایلهای با پسوند LNK )
Print spooler
سرویس سرور
افزایش میزان خطر از طریق آرایش فایل کیبورد
افزایش میزان خطر از طریق task Scheduler
که از باگهای ماکروسافت بودن یا هستن
البته به جز دو گزینه ی آخرش بقیه توسط Microsoft تصحیح شده و Patch شدن مجدد
گفته میشه حتی برای آنالیز کردن این کرم با جزئیات هنوز هیچ گروهی موفق نشده ، چون این کرم دارای حجمی معادل تقریبا 2 مگ هست که برای یک کرم حجم بسیار زیادی هست.
این کرم از ژوئن 2009 تقریبا شروع به پخش شدن کرد اما جالبی اینجاست که در تاریخ ژوئن 2010 تازه کشف میشه!
که البته این کرم کار یک نفر یا یک گروه یا یک آکادمی نبوده، بلکه دست چندین ملیت مختلف پشت این بوده است
همچنین برنامه نویسان متوجه یک سری منابع مربوط به انجیل شدن در این کرم ، Myrtus داخل کدهای این کرم دیده شده ( که نام یک نوع گل تلفنی هست ) که کلی شک و شبه با خودش به همراه داره..
یک آبجکتی داخل این کرم پیدا شده وقتی که داشتن کامپایلش میکردن که به ما مسیری رو میگه که نویسنده ی ویروس Source code ها رو روی سیستم ذخیره میکرده..:
\myrtus\src\objfre_w2k_x86\i386\guava.pdb
این مسیر بالایی هستش ، البته احتمالا نویسنده ی ویروس نمیخواسته که کسی فکر کنه اسم کرم رو Myrtus گزاشته، ولی طبق سابقه ی ویروس نویسها گمان اینطوری بیشتر هست ، به عنوان مثال در عملیات حمله aurora به گوگل این کرم aurora نام گرفت به خاطر مسیری که داخل یکی از باینری ها بوده :
\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb
بگزریم حالا نمیشه به طور قطع گفت که Myrtus یک منبع مربوط به انجیل هستش ولی میشه تصور کرد که ممکنه یک معنی کاملا جدا رو بخواد برسونه:
مثلا :
My RTUs به جای اینکه بگیم Myrtus !!
که البته RTU مخفف Remote Terminal Unit هستش که برای سیستم های کارخانه ای استفاده میشه، که خیلی عجیبه باز ولی نمیشه بگی حتما منظور نویسنده ی کرم همین بوده.
نکته ی جالب دیگه این هست که استاکسنت هر سیستمی رو که آلوده میکنه مارک میکنه که بدونه آلوده شده قبلا !!!
توسط ساختن یک کلید رجیستری به نام 19790509 در ثبات سیستم...حالا جالبتر از همه هم اینکه چرا این اسم رو ثبت میکنه؟
جواب : اگه خوب دقت کنین و اعداد رو تفکیک کنین این یک تاریخ دقیق هستش:
9th of May, 1979 هست یا نهم ماه مه از سال 1979
حالا این که این روز چه مناسبتی بوده هم گفته میشه شاید مثلا تاریخ تولد نویسنده ی کرم باشه..
محتوای مخفی: پاورقی
شبهاتی هست که میگه استاکسنت یک رابطه ای با کرم دیگر به نام Conficker داره چون هردو از واریانت های مشابه استفاده کردن..
کانفیکر بین سالهای 2008 تا 2009 کشف شد ، که همینطور اولین واریانت های استاکسنت هم کمی بعد ازین کشف شدن
هر دو از آسیب پذیری MS08-067 استفاده میکنن، هر دو از USB کارشون رو شروع میکنن، از ضعفهای پسورد شبکه استفاده میکنن، و به یک اندازه هم پیچیده هستن
ربط های دیگه هم میشه به Zlob داد که اولین کرمی بود که از فایلهای لینکی (LNK که پسوندی برای شورتکات هست ) استفاده کرد
یک سوال مهم این هست که آیا اگه Autorun رو غیر فعال کنیم دیگه این کرم رو نمیگیرم ؟
جواب این هست که این کرم حسابش جداس با بقیه ، حتی اگه اتوران رو هم غیر فعال کنی باز کرم از واریانت های دیگه استفاده میکنه برای آلوده سازی ..مثلا همین آسیب پذیری فایلهای LNK شما رو به راحتی آلوده میکنه
آیا این کرم تا همیشه قصد داره پخش بشه؟
جواب این هست که این ویروس یک Kill date داره در کدهاش ! که گفته میشه قراره June 24, 2012 پخش شدنش به طور خودکار متوقف میشه!
این کرم تا حالا صد هزار سیستم رو آلوده کرده در سرتاسر جهان اما آماری که شرکت زیمنس داده ( شرکت ساخت کنترل کننده های منطقی و ...) میگه که تا حالا 15 تا کارخانه فقط آلوده به این کرم شدن
حالا میخوایم بدونیم در عمل چطور میشه این کرم پخش بشه از اولین نقطه؟
همون طور که اول هم گفتم نقطه ی اول وارد شدن به USB هست ، وقتی وارد شد نیاز داره که به سیستم وصل بشه
مثلا با وارد شدن دزدکی به خونه ی یکی از کارمندانی که در شرکت مورد نظر کارمیکنه و وارد کردن کرم به فلش درایوش همه ی اینها واقعی میشه
بعد هم که کارمند بیخبر میاد فلش رو به سیستم کارخانه وصل میکنه و بوووووووووم // بدون اینکه کاربر شستش خبر دار بشه کرم وارد سیتسم میشه
از دیگر کارهای این کرم این هست که دیگه به هر سیستمی در شبکه نفوذ میکنه و آلودش میکنه میخواد هدف باشه یا نه
لینک دانلود برنامه ی سودمند استاکسنت
http://www.uploadbaz.com/a7ymgz9q2gun
برای پسورد هم از 123 استفاده کنین
نوشته شده توسط امین
هرگونه کپی برداری با ذکر منبع ( P30world.com ) و نام نویسنده مجاز هست..
Take Care
Last edited by A M ! N; 28-11-2011 at 00:56.
*Batman*,AlexanderMahone,ali703,alip300,amin_fixfox,AMIR MOHAMMAD . M,amir.7,AMIR.KIK,Aria1997,armardeh,Arrowtic,Atefeh.N,attractive_girl,Babak,bahman.pdf,black.assassin,caca_caca888,cyber861,D r i v e r,dara0,death knight,Dolphin 7,dops dops,ea2021,ebicross,ELHAM3000,Erfan.,Erfan.B,fg55,GHAGHALEELEE,Hadi King,hellbrain666,Iman-Emperatour,Jadda,jafarian,jax2,jolan57,K1lou,kases,key,Kurosh,lahij_web,M e i s a m,mand007,marmolak kocholo,Masoud-Susa,Masоud,mhroozbeh,mohsen_rkh,MR.CART,P I R A N H A,peaceful1,polestar98g,pooria-ir,pro_translator,Raeeka,sadegh-sg,saeed774,Sayam,Serenity,shahab_f,Shahin King,ŞHÍЯÍŃ,soroush20,sourena,sue,SURIV,unknown47,WANG,wordist,xeNociDe,yashgin128,zed2,بردیا
امین جان مبحث خوبی رو شروع کردی عزیز.
امیدوارم بحث رو همین طور ادامه بدی و دوستان دیگه هم مطلبی اگه می دونن تو تاپیک ارائه بدن تا تاپیک خوب و جامعی در این مورد داشته باشیم.
در ضمن امین جان برای شروع کار بد نیست لینک این تاپیک رو که گزیده هایی از اخبار استاکس نت بود رو به پستت اضافه کنی تا پستت کامل تر بشه :
حافظههاي فلش در حال آلوده کردن رايانههاي کل کشور هستند
موفق باشيکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یعنی هیچ کدوم از انتی ویروس های معروف نمیتونن شناساییش کنن...؟
به نظر میاد خیلی خطری هم باشه
من که خونه کارخونه ندارمپس اگر هم بیاد من با آغوش باز ازش استقبال می کنم.
چرا مباحث تخصصی مطرح می کنی ؟؟؟ من مخم هنگ کرده. فقط جاهای سیاسیشو فهمیدم
این 24 ژوئن 2012 چه خبره ؟؟؟ شفاف سازی کن مقاله رو :پی
ولی دستت درد نکنه. خیلی جالب بود. من هر جا در مورد این کرم دیدم حوصله نکردم بخونمش ولی این یکیو خوندم و به نظرم جالب اومد.مخصوصا اون عکسه که فکر کردم در موردش توضیح دادی اما نداده بودی و منم هیچی ازش بارم نشد
سلام
الان شناسایی این کرم برای همه برنامه ها ممکنه تقریبا،
داخل سایت آنالیزش کردم و تقریبا همه شناخته بودنش و مشکلی باهاش نیست
فقط اگه سیستمتون بهش آلوده بشه دیگه هیچ تضمینی نیست که بشه حتما Cure کرد سیستم رو
دیروز آویرا هم خودش رو و هم Rootkit همراهش رو شناسایی کرد.
Take Care
نه فكر كنم بشه بعد از آلوده شدن سيستم هم اون ويروس رو از بين برد كافيه با برنامه هايي مثل tdskiller روتكيت رو از بين برد باقي كار ديگه ساده اس البته اگر سيستم به صورت آفلاين اسكن بشه كه ديگه هيچ مشكلي نيست.
با تشکر از دکتر اسمیت دوست عزیز میخواستم بدونم این برنامه بدون ران کردن در داخل کامپیوتر (مثلا داخل یک برنامه کرک شده یا زیپ)کارش و شروع میکنه یا نه؟؟؟دارای ران اتومات که نیست؟؟
اولین شرکت سایمنتک بود که دنبالش رو گرفت و دخلش رو اورد :
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدلینک بالا قبل از /2011 یه h اضافه کنید اخرین لینک رو میگمکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
Last edited by AlexanderMahone; 27-11-2011 at 21:13.
سلام
007 جان البته من توضیحات رو دادم، ولی همون طور که گفتم این کرم دیگه بدون استفاده از اتوران هم اجرا میشه..
این کرم شامل 4 تا فایل آلوده لینکی هستش ( Copy of shortcut to.LNK ) و دوتا فایل هم به شکل Temporary file هستن ( در اصل اینطور نیست! )
یک Rootkit و یکی هم Malware هست که خود کرم هستش.
فقط کافیه که روی یک پوشه کلیک کنین که شامل فایلهای استاکسنت هست!
Take Care
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)
قوانين ايجاد تاپيک در انجمن
جواب بصورت نقل قول.gif "N Aggressive (45)")
.gif "N Aggressive (5)")
نوشته شده توسط M e i s a m
